Sektor WordPress Terancam: Celah Kritis WP Maps Pro Dieksploitasi untuk Membuat Akun Admin Siluman

Ekosistem keamanan WordPress kembali menghadapi ancaman serius setelah ditemukannya celah keamanan dengan tingkat keparahan kritikal (Skor CVSS: 9.8) pada plugin premium WP Maps Pro (sebelumnya dikenal sebagai Advanced Google Maps). Kerentanan yang dilacak sebagai CVE-2026-8732 ini memungkinkan peretas jarak jauh tanpa otentikasi (unauthenticated remote attackers) untuk menyusup, membuat akun administrator baru, dan mengambil alih kendali situs web secara penuh (complete site takeover).

Plugin yang berfungsi untuk membangun peta interaktif dan pencari toko (store locator) ini sangat populer di kalangan situs web bisnis, direktori perjalanan, dan real estat, dengan catatan penjualan mencapai lebih dari 15.800 lisensi di Envato Market.

Akar Masalah: Celah Logika Fitur “Temporary Access” Support Vendor

Berdasarkan laporan teknis dari peneliti keamanan David Brown yang menemukan celah ini, akar masalahnya bukan disebabkan oleh kerusakan memori, melainkan penyalahgunaan fungsi fitur internal plugin:

• Tujuan Awal Fitur: Pengembang menyertakan fitur “Akses Sementara” (temporary access) yang dirancang agar staf dukungan teknis (vendor support staff) dapat masuk log ke dasbor pelanggan tanpa kata sandi saat membantu menyelesaikan kendala teknis (troubleshooting).
• Ekspos Endpoint Publik: Fungsi pembantu ini didaftarkan menggunakan kait (hook) AJAX WordPress berjenis wp_ajax_nopriv_wpgmp_temp_access_ajax. Kait jenis nopriv ini secara arsitektur membuat fungsi tersebut dapat diakses oleh siapa saja di internet, termasuk pengunjung acak yang belum masuk log.
• Gagalnya Validasi Token Keamanan (Nonce): Pengembang mencoba mengamankan jalur ini menggunakan pemeriksaan token keamanan WordPress (nonce check) bernama fc-call-nonce. Sialnya, nilai token nonce ini justru tertanam secara terbuka di setiap halaman depan (frontend) situs web melalui fungsi objek JavaScript wpgmp_local. Karena token pengaman tersebut dipaparkan secara publik, fungsi nonce otomatis kehilangan daya perlindungannya karena peretas dapat menyalin nilai token tersebut dengan mudah.

Mekanisme Eksekusi Serangan Akun Siluman

Saat meluncurkan serangan, peretas akan mengirimkan permintaan (request) AJAX yang telah dimanipulasi ke server target dengan menyertakan parameter khusus check_temp=false.

[Permintaan AJAX dari Peretas] (check_temp=false + fc-call-nonce publik)
                 │
                 ▼
     [Eksekusi Fungsi Internal]
     ├── Memanggil fungsi bawaan WordPress: wp_insert_user()
     ├── Membuat User Admin Baru: [email protected]
     └── Membawa Fungsi: generate_login_link()
                 │
                 ▼
     [Output Tautan Login Ajaib] (Magic Login URL)
                 │
                 ▼
[Peretas Mengklik Tautan] ──► Otomatis memicu fungsi: wp_set_auth_cookie()
                                           │
                                           ▼
                       [PERETAS MASUK SEBAGAI ADMINISTRATOR 100%]

Begitu tautan ajaib (magic login URL) tersebut dihasilkan dan diklik oleh peretas, fungsi WordPress wp_set_auth_cookie() akan langsung mengotentikasi sesi browser peretas sebagai administrator sah. Proses ini berjalan mulus tanpa menanyakan kata sandi, kode MFA/2FA, atau verifikasi tambahan apa pun.

Dampak Eksploitasi di Lapangan

Memiliki hak akses setingkat Administrator di platform WordPress berarti peretas memegang kunci kerajaan digital pemilik situs. Perusahaan keamanan siber Defiant (Wordfence) melaporkan telah memblokir lebih dari 3.600 upaya serangan agresif yang menargetkan celah ini hanya dalam kurun waktu 24 jam terakhir.

Jika peretas sukses bersarang di dasbor admin, mereka dapat dengan mudah melakukan aksi merusak berikut:

• Menyuntikkan pintu belakang (backdoors) yang persisten agar tetap bisa masuk meskipun plugin dihapus.
• Memasang modul penipu atau web shells untuk memata-matai sirkuit server.
• Memodifikasi konten artikel, mengarahkan paksa pengunjung ke situs judi/penipuan (malicious redirects), serta mengeksfiltrasi data sensitif pengguna dan email pelanggan.

Garis Waktu & Langkah Mitigasi Darurat

David Brown melaporkan temuan ini ke program Bug Bounty Wordfence pada 24 Maret. Karena sulitnya mencari kontak langsung pengembang, laporan dieskalasi ke tim keamanan Envato pada 16 Mei, hingga akhirnya pengembang merilis perbaikan resmi pada 20 Mei melalui pembaruan WP Maps Pro Versi 6.1.1.

Bagi para pengelola situs web WordPress, berikut langkah penanganan wajib yang harus segera dieksekusi:

Langkah 1: Perbarui Plugin Secara Instan

Masuk ke dasbor WordPress Anda, periksa menu plugin, dan pastikan WP Maps Pro telah diperbarui ke versi 6.1.1 atau versi yang lebih baru untuk menghapus baris kode fungsi temp_access yang cacat tersebut.

Langkah 2: Audit Daftar Pengguna (User List)

Lakukan pemeriksaan manual pada menu Users -> All Users di dasbor WordPress Anda. Cari apakah ada akun asing dengan hak akses Administrator, terutama akun dengan email bawaan serangan: [email protected] atau nama pengguna acak yang tidak Anda kenal. Jika ditemukan, segera hapus akun tersebut.

Langkah 3: Gunakan Firewall Aplikasi Web (WAF)

Pastikan situs web Anda dilindungi oleh sistem keamanan aktif seperti Wordfence, Patchstack, atau Sucuri. Pengguna layanan premium umumnya telah mendapatkan aturan firewall (firewall rules) otomatis sejak pertengahan Mei untuk memblokir pola serangan manipulasi parameter check_temp ini sebelum mencapai server.

Sumber: Laporan Wordfence Bug Bounty Program / Defiant Threat Intelligence